网工基础 | VPN（4）DMVPN

DMVPN是一个动态多点VPN，它的技术背景是这样的：VPN 的建立模型通常有两种，分别是Hub-Spoke （星型结构） 和Full-Mesh （网状结构）。以上两种模式均存在较大的弊端：

星型结构：

针对以上两种模型的弊端 , Cisco 提出了私有的高扩展性的VPN 解决方案——DMVPN。

1. MGRE (multipoint GRE)

2. NHRP （Next Hop Resolution Protocol）

3. Dynamic Routing Protocol

4. IPSec VPN

NHRP：

一个二层的客户-服务器解析协议，用于映射隧道地址（虚拟）到一个NBMA地址（物理）。

NHRP的功能非常类似于ARP（映射IP（逻辑）到MAC（物理）和Reverse ARP（映射IP(逻辑）到DLCI(物理））。

就想ARP一样，NHRP支持静态映射和动态映射，Hub路由器维护一个所有Spoke隧道地址（虚拟）到公网地址（物理）的数据库。

档Spoke启动以后，它注册自己的公网地址到Hub，并且询问其他的目的Spoke的公网地址，这样Spoke之间就能直接建立隧道。

Dynamic Routing Protocol：

一个协议用来宣告私有网络到DMVPN网络，IP路由更新和IP组播数据包仅仅只在Hub-to-spoke隧道中进行传输，单播数据包既能穿越hub-to-spoke隧道也能穿越直接动态建立的spoke-to-spoke隧道。

路由比邻只在hub-to-spoke隧道上建立，spoke-to-spoke的路由逻辑由NHRP来执行。路由协议并不监控spoke-to-spoke隧道的状态。

支持的动态路由协议有：RIP、EIGRP、OSPF、ODR和BGP

IPSec VPN:

DMVPN 依然是一种GRE over IPSec技术，也是典型的传输模式。

原始数据包：

源IP：192.168.1.1 目的IP:192.168.2.1 ICMP DATA

GRE封装后：

源IP:202.100.1.1 目的IP:202.100.1.2 GRE 

源IP：192.168.1.1 目的IP:192.168.2.1 ICMP DATA

DMVPN (传输模式）：

源IP:202.100.1.1 目的IP:202.100.1.2 ESP GRE 

源IP：192.168.1.1 目的IP:192.168.2.1 ICMP DATA

技术特点：由客户自行配置维护，不需要ISP来管理

技术缺点：由于用封装技术穿越公共网络，所以稳定性不高

作用：解决在公共网络上多站点（私有网络）的互通问题

实验

实验模型：（模拟现实环境）实际的路由拓扑图示：

拓扑说明：

我们用R1代表总公司的网络部分，背后连接着很多的内部私有网络；

我们用R3与R4代表分公司的网络部分，背后也有很多的私有网络，R2为ISP。

我们现在就要用DMVPN来解决各个公司站点的私有网络穿越公有网络部分来通信问题。

我们用这种模拟图来标识远距离的一家公司，R1为总公司，SP为在不同地区的俩个分公司。

起先,这些公司都可以连接到公共网络访问互联网，我们所需要解决的是如何让公司内部的人员互相通信——也就是说hub到站点和站点到站点。我们部署DMVPN后的网络拓扑图，在逻辑的被划分为这样的拓扑图：

注意：其实从R1接出来的看作是一根线，相当于是一根接口连接俩个终端。

图中虚线是用MGRE技术与分公司建立虚拟的专线，先阶段的网络状况有很多问题需要解决：

总公司与分公司的私有网络并不能通信分公司到分公司的网络问题。

VPN技术是一种封装技术，所以，可以借助MGRE来解决DMVPN的隧道封装技术，然后用NHRP来解决站点之间的通信问题。